Embora as frases de recuperação de criptomoedas sejam a principal prioridade para o SpyAgent, o uso da tecnologia OCR significa que qualquer imagem está disponível. Por exemplo, se os dispositivos de negócios tiverem capturas de tela de nomes de usuário e senhas de bancos de dados ou ferramentas de análise de dados, os ativos da empresa poderão estar em risco. Considere um gerente com acesso a vários serviços seguros, cada um exigindo uma senha exclusiva para ajudar a reduzir o risco de comprometimento. Em um esforço para manter as senhas seguras, mas ainda assim tê-las disponíveis sob demanda, nosso gerente bem-intencionado faz uma lista e tira uma captura de tela de suas diferentes combinações de credenciais. Como eles acreditam que seu dispositivo está seguro, a empresa está usando soluções como autenticação multifator (MFA) e logon único seguro (SSO), e eles não veem sua captura de tela como um risco.

No entanto, se os hackers os convencerem a clicar e baixar aplicações infectadas, os invasores podem visualizar e roubar dados de imagem salvos e, em seguida, usar esses dados para obter acesso à conta "legalmente".

Outro risco potencial vem dos dados pessoais. Os usuários podem ter capturas de tela de dados pessoais de saúde ou financeiros, o que os coloca em risco de exfiltração de dados e fraude de identidade. Eles também podem ter detalhes de contato confidenciais de parceiros de negócios ou executivos, abrindo a porta para outra rodada de ataques de phishing.

Essa abordagem de comprometimento baseada em imagens cria dois problemas para as equipes de segurança. Primeiro, o tempo necessário para a detecção. As empresas levam, em média, 258 dias para detectar e conter um incidente, conforme observado no relatório do custo das violações de dados de 2024 da IBM. Mas esse número só se aplica se a segurança estiver disparando com todos os cilindros. Se os dispositivos móveis forem comprometidos por ações do usuário e o único objetivo do malware for encontrar e roubar capturas de tela, o problema poderá passar despercebido por muito mais tempo, especialmente se os invasores aguardarem.

Enquanto isso, quando os criminosos migrar para atacar, os danos podem ser significativos. Usando credenciais roubadas, os invasores podem obter acesso a serviços críticos e bloquear proprietários de contas. A partir daí, eles podem capturar e exfiltrar dados em uma série de sistemas e serviços de TI. Embora essa ação direta alerte as equipes de TI, a resposta de segurança é naturalmente reacionária, o que significa que as empresas não podem evitar o ataque; elas mitigam os danos.